Date de divulgation : 29 octobre 2024
Date ajoutée à CISA KEV : 7 novembre 2024 (CVE-2024-51567)
La semaine dernière, nous avons signalé la CVE-2024-51378une vulnérabilité critique d'exécution de code à distance non authentifiée (RCE) dans CyberPanel via la fonction getresetstatus qui est activement exploitée par divers gangs de ransomware, y compris l'opération PSAUX.
Au moment de la publication de notre précédent avis, nous avions observé 60 935 appareils CyberPanel exposés. Ce nombre a depuis diminué d'environ 4 000, notre évaluation actuelle identifiant 55 425 dispositifs exposés.
Deux autres vulnérabilités critiques de CyberPanel divulguées simultanément sont les suivantes CVE-2024-51567, ajoutée à CISA KEV hier et désormais également ciblée par des ransomwares, et la vulnérabilité CVE-2024-51568.
CVE-2024-51378 et CVE-2024-51567 affectent les versions jusqu'à 2.3.6 et 2.3.7 non corrigées, tandis que CVE-2024-51568 affecte les versions 2.3.5 et antérieures. Les trois vulnérabilités ont le score de sévérité CVSS maximum de 10.0 selon MITRE et peuvent conduire à un RCE non authentifié, bien qu'elles résident dans des composants différents de CyberPanel.
CVE-2024-51567 exploite la fonction upgrademysqlstatus dans le fichier databases/views.py avant 5b08cd6permettant à des attaquants distants de contourner l'authentification et d'exécuter des commandes arbitraires via le fichier /dataBases/upgrademysqlstatus en contournant secMiddleware (qui n'est utilisé que pour les requêtes POST ) et en utilisant des métacaractères shell dans la propriété statusfile, tel qu'exploité dans la nature en octobre 2024 par PSAUX.
CVE-2024-51568 permet l'injection de commande via la commande completePath dans la fonction ProcessUtilities.outputExecutioner() de ProcessUtilities. Un acteur distant non authentifié peut envoyer une requête spécialement conçue à l'adresse /filemanager/upload (alias File Manager upload) pour permettre l'exécution de code à distance non authentifié via des métacaractères shell.
CyberPanel is an open-source web hosting control panel built specifically to work with the LiteSpeed Web Server. CyberPanel is typically accessible over the public internet through a web based interface on TCP/8090 by default. Once installed on a server, users can log into CyberPanel by navigating to http://<server-ip>:8090. This interface is accessible globally, provided there are no network restrictions or firewall rules blocking the port.
Portail Web CyberPanel exposé
| Champ d'application |
Détails |
| CVE-ID |
CVE-2024-51567 - CVSS 10.0 (Critique) attribué par Mitre |
CVE-2024-51568 - CVSS 10.0 (Critique) attribué par Mitre |
| Description de la vulnérabilité |
upgrademysqlstatus dans databases/views.py dans CyberPanel avant 5b08cd6 permet à des attaquants distants de contourner l'authentification et d'exécuter des commandes arbitraires via le fichier /dataBases/upgrademysqlstatus en contournant secMiddleware (qui n'est utilisé que pour une commande POST ) et en utilisant des métacaractères shell dans la propriété statusfile, comme exploité dans la nature en octobre 2024 par PSAUX. |
CyberPanel (alias Cyber Panel) avant 2.3.5 permet l'injection de commande via completePath dans le fichier ProcessUtilities.outputExecutioner(). Il y a /filemanager/upload (alias File Manager upload), une exécution de code à distance non authentifiée via des métacaractères du shell. |
| Date de la divulgation |
29 octobre 2024 |
| Actifs touchés |
upgrademysqlstatus dans databases/views.py dans CyberPanel (aka Cyber Panel) avant 5b08cd6. |
chemin complet dans le fichier ProcessUtilities.outputExecutioner() et /filemanager/upload avant |
| Versions de logiciels vulnérables |
Versions jusqu'à 2.3.6 et 2.3.7 (non corrigée) sont concernées. |
Avant la version 2.3.5 |
| PoC disponible ? |
A PoC pour CVE-2024-51567 a été publié, ainsi qu'un article technique couvrant les deux vulnérabilités par le chercheur en sécurité DreyAnd, qui les a découvertes. |
| Statut d'exploitation |
CVE-2024-51567 a été ajoutée à CISA KEV le 7 novembre 2024. À l'heure où nous écrivons ces lignes, cette vulnérabilité est principalement ciblée par le ransomware PSAUX, ainsi que par deux autres variantes de ransomware. |
CVE-2024-51568 n'a pas été signalé sur CISA KEV ou observé dans GreyNoise au moment de la rédaction. |
| Statut du patch |
CyberPanel a publié un correctif de sécurité complet qui corrige les deux CVE. Vous trouverez des informations détaillées sur les vulnérabilités et les correctifs correspondants dans leurs journaux des modifications. En outre, cet outil peut être utilisé pour décrypter les dispositifs verrouillés par PSAUX. |
Censys Perspective
Au moment de la rédaction du présent document, Censys observait 55,425 portails web CyberPanel exposés en ligne, dont environ 25% concentrés aux États-Unis. Censys a observé environ 31% des instances exposées étaient associées à Digital Ocean (ASN 14061). Il convient de noter que toutes ces instances ne sont pas nécessairement vulnérables, car les versions spécifiques des appareils ne sont pas disponibles.
Carte des instances CyberPanel exposées :
Nous avons analysé les tendances des instances CyberPanel exposées au cours des deux semaines précédant et suivant la divulgation :
Nous avons observé un pic important d'instances CyberPanel la veille de la divulgation des vulnérabilités, avec environ 1 000 appareils. Après la divulgation, il y a eu une forte baisse, le nombre d'appareils diminuant d'environ 1 à 2 000 chaque jour au cours des jours suivants.
Selon les informations de LeakIXil existe actuellement trois groupes distincts de ransomware ciblant les appareils vulnérables de CyberPanel. L'avis avis publié la semaine dernière aborde ces groupes de manière plus détaillée. Ils ont été associés aux extensions de fichiers suivantes :
.psaux -> Custom ransomware, script based
.encryp -> Variant from Babuk's source
.locked -> C3RB3R Conti v3-based Ransomware
Il y a également eu des observations de cryptomineurs persistants installés sur les hôtes CyberPanel infectés par PSAUX après l'exploitation.
Si vous administrez une instance CyberPanel publique, il est recommandé d'y remédier immédiatement en appliquant des correctifs ou en limitant l'accès depuis l'internet public.
Censys Requête de recherche :
services.software: (vendor="CyberPanel" and product="CyberPanel") and not labels: {tarpit, honeypot}
Censys Requête ASM :
host.services.software.vendor="CyberPanel" AND host.services.software.product="CyberPanel"
LeakIX a publié un outil de décryptage ici qui exploite une faiblesse de chiffrement dans PSAUX. Malheureusement, il n'y a pas de solution de contournement connue pour les deux autres groupes de ransomwares à l'heure actuelle.
Références
